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1 Allgemeines 


Inhalt des vorliegenden Dokumentes 


Das vorliegende Dokument ergänzt die Registrierrichtlinien für LRA Officer Klasse B [1] in Bezug auf 
die Identifizierung der Antragsteller und die Überprüfung der Übereinstimmung der Angaben auf den 
Ausweisdokumenten und dem entsprechenden Eintrag im AdminDir. 


In den Registrierrichtlinien sind die folgenden Grundsätze definiert: 


e Die Identifizierung des Antragstellers muss mittels eines gültigen Reisepasses oder einer für 
die Einreise in die Schweiz gültigen Identitätskarte vorgenommen werden. 


e Name und Vorname im AdminDir müssen mit den jeweiligen Werten im Reisedokument iden- 
tisch sein. 


In der Praxis sind diese Grundsätze nicht in jedem Fall umsetzbar. Bis Ende 2014 wurden alle Abwei- 
chungen im Rahmen des Exception Handlings von den Security Officern der Swiss Governmenr PKI 
(SG-PKI) einzeln bewilligt. Im Laufe der Zeit kristallisierten sich aber Konstellationen und Use Cases 
heraus, die sich aufgrund ihrer Gleichartigkeit und Häufigkeit generell regeln lassen. Da sich das Um- 
feld jeweils häufig ändert und neue Fälle auftauchen, hat man sich entschlossen, die Detailregelungen 
in einem separaten Dokument abzuhandeln. Damit können die Registrierrichtlinien stabiler und 
schlanker bewirtschaftet werden. 


Im vorliegenden Dokument werden also die in den CP/CPS und den Registrierrichtlinien spezifizierten 
Vorschriften der Swiss Government PKI bezüglich der Identifizierung und Überprüfung des Namens 
des Zertifikatsempfängers konkretisiert. Die Einhaltung dieser Präzisierungen ist wie alle Regelungen 
der Registrierrichtlinien für die LRA Officer zwingend. 


Zielgruppe 

Das Dokument richtet sich primär an die Klasse B LRA-Officer der SG-PKI. Da die Personaldienste im 
Zuge der Realisierung des ‚Trusted Source‘ Prozesses vermehrt die Aufgabe der eindeutigen Identifi- 
kation der Mitarbeitenden wahrnehmen werden, stellt dieses Dokument auch für diese Stellen die 
Grundlagen und Regelungen bereit. 


Verwendete Begriffe und Abkürzungen 


Spezielle Begriffe und Abkürzungen, welche in diesem Dokument verwendet werden, sind in der Ta- 
belle «Definitionen, Akronyme und Abkürzungen» auf der vorangehenden Seite 2 zusammengefasst 
und werden in kurzer Form erläutert. 


Referenzierte Dokumente 


Hinweise auf referenzierte Dokumente werden in eckigen Klammern mit einem entsprechen- 
den Erkennungszeichen angegeben - zum Beispiel [Handbuch A]. In der Tabelle «Zeichen- 
satz 1.50 umgewandelt: 
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Tabelle 2: Code Translation T.61 - T.50 


» auf der vorangehenden Seite 11 sind die referenzierten Dokumente mit allfällig zusätzlichen Infor- 
mationen zum Dokument aufgelistet. 


Hinweis auf weibliche und männliche Schreibweise 


Aus Gründen der einfacheren Lesbarkeit wird in desem Dokument bei personenbezogenen Bezeich- 
nungen in der Regel nur die männliche Schreibweise verwendet. Im Sinne einer Gleichbehandlung 
bezieht die männliche Form jeweils die weibliche Form mit ein. 
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2 Übereinstimmung Name, Vorname in Ausweis und AdminDir 


Bei der Registrierung werden sowohl der Name als auch der Vorname auf Übereinstimmung geprüft. 
Das für die PKI relevante Datenfeld im AdminDir enthält keine Umlaute oder Sonderzeichen. Die Na- 
mensfelder werden nach der im Kapitel ‚2.3 - Code-Translation Tabelle‘ abgebildet. Die Übereinstim- 
mung wird unter Einbezug dieser Translation-Tabelle entschieden, d.h. der Name ‚Müller‘ im Ausweis 
wird als übereinstimmend mit ‚Mueller‘ im AdminDir bewertet. 


2.1 Grundlagen in den Registrierrichtlinien 


Aufgrund der entsprechenden Kapitel in den Registrierrichtlinien für die Ausstellung von Zertifikaten 
der Klasse B ist der LRA Officer verpflichtet, die Übereinstimmung der Angaben auf dem Reisedoku- 
ment, dem Zertifikatsantrag und dem Eintrag im AdminDir zu überprüfen: 


5.2.3.2 Antragsformular überprüfen 
Antragsformular auf Vollständigkeit und Korrektheit überprüfen. 


1. Ist der Antragsteller gemäss Fehler! Verweisquelle konnte nicht gefunden werden. berech- 
tigt, bei diesem LRA-Officer einen Antrag zu stellen? 

2. Stimmen die Angaben des Antragstellers auf dem Formular mit dem Eintrag im Admin-Direc- 
tory überein? 

3. Ist das Formular korrekt datiert und unterschrieben? 


Seit der Einführung des 2-Faktor-Logins für Bundesclients kann anstelle von Einzelanträgen vom je- 
weiligen HR auch eine Liste der neu eintretenden Mitarbeitern an den zuständigen LRA-Officer ge- 
schickt werden. Die Liste muss dieselben Daten pro Mitarbeiter enthalten wie das Antragsformular. 


9.2.3.4 Identität des Antragstellers überprüfen 
Die Überprüfung der Identität des Antragstellers muss grundsätzlich anhand eines Reisepasses oder 


einer von der Schweiz ausgestellten, resp. für die Einreise in die Schweiz anerkannten Identitätskarte 
vorgenommen werden. Ein Personalausweis genügt zur Identifizierung nicht. Die Überprüfung der 
Identität des Antragsstellers beinhaltet zwei Elemente: 


1. Überprüfung der Echtheit des vorgelegten Reisedokuments. Das Dokument ist auf folgende 
Punkte zu überprüfen: 
a. Ist das Reisedokument noch gültig (Zum Zeitpunkt der Registrierung nicht abgelau- 
fen) 
D Sind die bekannten Sicherheitsmerkmale vorhanden 
c. Stimmt die Person mit der Fotografie auf der Ausweisschrift überein. 
d. Stimmen Alter und Grösse mit den Angaben auf dem Dokument überein. 


2. Übereinstimmung der Angaben im Dokument mit denjenigen des Antrags und dem Eintrag im 
AdminDir. Insbesondere muss die Übereinstimmung von Name und Vorname im Dokument 
mit demjenigen des AdminDirs festgestellt werden. 


Danach muss insbesondere auch die Übereinstimmung des Namens und Vornamens zwischen Rei- 
sedokument und AdminDir Eintrag überprüft werden. Für Bundesangestellte werden diese Informatio- 
nen im AdminDir von BV+ übernommen. 


Kann die Übereinstimmung von Name/Vorname im AdminDir gemäss den nachfolgenden Re- 
geln nicht bestätigt werden, so darf das Zertifikat nicht ausgestellt werden. Der Eintrag im BV+ 
muss zuerst korrigiert und der korrigierte Wert ins AdminDir synchronisiert werden, bevor 
dann, nach erneuter und erfolgreicher Prüfung des Namens/Vornamens das Klasse B Zertifikat 
erstellt werden kann. 
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2.2 Übereinstimmung Name/Vorname 


2.2.1 Name 


Der Name im AdminDir muss unter Berücksichtigung der oben erwähnten Zeichentranslation exakt 
demjenigen im Reisedokument entsprechen. Dabei gilt es, die folgenden Spezialfälle zu berücksichti- 
gen: 


2.2.1.1 Doppelnamen 


Doppelnamen werden ohne Bindestrich geschrieben, sind im elektronischen Personenstandsregister 
(Infostar) erfasst und rechtlich relevant (prominentes Beispiel: Leutenegger Oberholzer). Doppelna- 
men werden in den amtlichen Schweizer Ausweisen (Pass, ID) immer aufgeführt. Dies bedeutet, dass 
der Eintrag der jeweiligen Personen im BV+ und folglich auch im AdminDir den Doppelnamen enthal- 
ten muss. Die Möglichkeit zur Registrierung eines Doppelnamens bei Heirat ist seit Einführung der 
letzten Revision des Zivilgesetzbuches vom 1.1.2013 nicht mehr möglich. 


2.2.1.2 Allianznamen 


Allianznamen werden dem Namen durch Bindestrich angefügt. Allianznamen sind nicht im Personen- 
standsregister eingetragen. Ob der Allianzname im Pass oder der ID eingetragen wird oder nicht, 
kann vom Inhaber bei der Ausstellung gewünscht werden. Die Präsenz oder das Fehlen des Allianz- 
namens im AdminDir Eintrag ist deshalb nicht von Belang. 


2.2.1.3 Namensänderung 


Ändert eine Person ihren Namen aufgrund von Heirat oder Scheidung, muss ein neues Zertifikat er- 
stellt werden. Der Ausstell- und Identifikationsprozess ist dabei identisch mit der Erstausstellung eines 
Zertifikats. In der Regel wird für die Identifikation des Antragstellers ein neuer, auf den neuen Namen 
ausgestellter Ausweis verlangt. Bei Verheiratung kann zum Beispiel der neue Ausweis bis 60 Tage vor 
der Hochzeit vorbestellt werden, sodass er unmittelbar nach der Eheschliessung bereitsteht. 


Falls die Erstellung eines neuen Reisedokuments zeitlich nicht möglich ist, so kann das Zertifikat unter 
dem neuen Namen ausgestellt werden, wenn zusätzlich zum alten, gültigen Ausweis ein amtliches 
Dokument vorgelegt wird, das die Namensänderung belegt. Dieses zweite Dokument muss zusätzlich 
zum Ausweis eingescannt und sowohl in der Zertifikatsdatenbank als auch im Dossier des Zertifikats- 
inhabers abgelegt werden. Der Zertifikatsinhaber erhält die Auflage, sich innerhalb von 90 Tagen beim 
LRA-Officer mit dem neuen Ausweis identifizieren zu lassen. Der LRA-Officer führt zu diesem Zweck 
eine separate Pendenzenliste. 


2.2.1.4 Name MitarbeiterInnen mit französischem Pass 


Bei der Verheiratung behalten alle französischen Staatsburgerlnnen in den Ausweisen und offiziellen 
Dokumenten ihren bei der Geburt erworbenen Familiennamen (nom de famille). Zusätzlich zu diesem 
‚nom de famille‘ kann jede französische Person im Alltag einen sogenannten ‚nom d'usage‘ verwen- 
den. Dieser ‚nom d'usage‘ kann wie folgt gebildet werden: 


e _<Name des Ehepartners> 
e  <Familienname> - <Name des Ehepartners> 
e  <Name des Ehepartners> - <Familienname> 


Auf Wunsch der Person kann der ‚nom d'usage‘ im Pass oder in der Identitätskarte aufgeführt werden. 
Er wird dann hinter dem Familiennamen angehängt und entweder mit dem Präfix ,époux/épouse' bzw. 
usage’ davon getrennt. Zum Beispiel sind für Frau Lacroix, verheiratete Dupont, folgende Einträge im 
Feld Name des Passes möglich: 


e Lacroix 
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e Lacroix épouse Dupont 


Lacroix épouse Martin-Dupont 
e Lacroix épouse Dupont-Martin 
e Lacroix usage Dupont 

e Lacroix usage Martin-Dupont 
e Lacroix usage Dupont-Martin 


Der im BV+ bzw. AdminDir eingetragene Name muss einem der oben aufgeführten Namen entspre- 
chen: Entweder dem ‚nom de famille” oder dem ‚nom d'usage”. In unserem Beispiel also entweder 
Lacroix, Dupont, Lacroix-Dupont oder Dupont-Lacroix. 


Bei verheirateten Doppelbürgerinnen, die bei der Eheschliessung nach Schweizer Recht den Namen 
des Mannes oder einen Doppelnamen angenommen haben, muss der Name nach Schweizer Recht 
eingetragen sein. Die Gültigkeit dieses Namens muss entweder mit dem Schweizer Pass oder der 
Schweizer Identitätskarte oder, zusätzlich zum französischen Pass, mit der Heiratsurkunde belegt 
werden, falls der Name des Ehepartners im französischen Pass nicht wie oben beschrieben aufge- 
führt ist. 


Selbstverständlich gilt auch hier, dass alle relevanten Namen identisch geschrieben sein müssen. Das 
Zertifikat wird auf den im AdminDir aufgeführten Namen ausgestellt. 


2.2.1.5 Name verheirateter Frauen mit italienischem Pass 


Bei der Verheiratung behalten weibliche italienische Staatsbürgerinnen in den Ausweisen und offiziel- 
len Dokumenten immer ihren ledigen Namen. Der Name des Ehemannes wird im Namensfeld nicht 
automatisch aufgeführt. Auf Wunsch hat die Frau aber die Möglichkeit, bei den Bemerkungen ,spo- 
sata con ...“ (verheiratet mit....) anfügen zu lassen. Ebenfalls hat man die Option, einen Doppelnamen 
zu beantragen. Dies wird jedoch sehr selten in der Praxis benützt. Falls dieser Wunsch nicht bei der 
Heirat ausgesprochen wird, kann der Doppelname später nur über eine offizielle Namensänderung 
verlangt werden. Will die Frau aber im Alltag den Namen des Ehemannes führen und ist so im Admin- 
Dir eingetragen, so muss zur eindeutigen Identifizierung ein zusätzliches amtliches Dokument beige- 
bracht werden, das die Namensänderung offiziell und eindeutig belegt. Ausser der obenerwähnte Zu- 
satz ‚sposata con ...' istim Pass enthalten. 


Für nach italienischem Recht verheiratete Frauen stellt sich also in der Regel das Problem nicht, da 
sie im Alltag ja den gleichen Namen wie im Pass benutzen. Bei den nach Schweizer Recht verheirate- 
ten Frauen verlangen wir demnach zusätzlich zum italienischen Pass die Heiratsurkunde, sofern bei 
der Heirat der Name des Partners angenommen wurde. Ist die Frau schon im Besitz eines Schweizer 
Reisdokuments kommen sowieso die generellen Bestimmungen zur Anwendung. 


Da die Identität der Person über diese beiden Ausweise eindeutig feststellbar ist und die Verbindung 
lediger Name — Familienname jederzeit hergestellt werden kann, muss der Name im AdminDir einem 
der in den Ausweisen aufgeführten Namen entsprechen. Selbstverständlich gilt auch hier, dass alle 
relevanten Namen identisch geschrieben sein müssen. Das Zertifikat wird auf den im AdminDir aufge- 
führten Namen ausgestellt. 


2.2.2 Vorname(n) 


Vornamen werden in Schweizer Ausweisen nach Artikel 5 der ‚Verordnung des EJPD 
über die Ausweise für Schweizer Staatsangehörige‘ aufgeführt: 


Art. 5 Vorname 


' Der Vorname wird gemäss Reihenfolge im Infostar, Einwohnerkontrollregister, Heimatschein, Fami- 
lienregister oder ISA eingetragen. Der Rufname wird nicht gekennzeichnet. 
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? Bei der Ausstellung eines Passes stehen für den Vornamen maximal 45 Zeichen inklusive Leerzei- 
chen zur Verfügung. Für die Ausstellung einer Identitätskarte oder im Falle eines Kombiangebotes 
stehen für den Vornamen inklusive Leerzeichen maximal 30 Zeichen zur Verfügung. 


7 Ist der Rufname innerhalb der verfügbaren Zeilenlänge nicht enthalten, so wird er in Absprache mit 
der antragstellenden Person vorgezogen und als letzter ungekürzter Vorname eingetragen. Gekürzte 
Vornamen sind im Pass in der Rubrik amtliche Ergänzungen vollständig und in der korrekten Reihen- 
folge aufzuführen. Im Pass kann der Rufname auf Verlangen der antragstellenden Person in der 
Rubrik amtliche Ergänzungen eingetragen werden. 


* Hat die antragstellende Person keinen Vornamen, so werden drei Sterne (***) eingetragen. 
Daraus abgeleitet lassen sich folgende Regeln für die Überprüfung des Vornamens, und zwar für alle 


Nationalitäten, ableiten: 


e Der Vorname im AdminDir muss unter Berücksichtigung der weiter oben erwähnten Zeichen- 
translation exakt demjenigen im Reisedokument entsprechen 


e Sind im Reisedokument mehrere Vornamen aufgeführt, müssen die Vornamen im AdminDir 
identisch sein oder zumindest eine Teilmenge der Vornamen im Reisedokument bilden. So 
sind zum Beispiel bei im Reisedokument aufgeführten Vornamen ‚Erich Peter Friedrich‘ fol- 
gende Varianten im AdminDir erlaubt: 


o Erich 
o Peter 
o Erich Friedrich 
o Peter Friedrich 
o etc. 
Nicht erlaubt wären hingegen: 


o Hans Peter 


o Fritz 

o Pesche 

o Eric 

o etc. 
2.2.3 Beispiele 


Die nachfolgenden Beispiele sollen die beschriebenen Regeln näher illustrieren: 


Eintrag Reisedokument Eintrag BV+ / AdminDir Begründung 





Name Vorname Name Vorname 


Müller Francois Mueller Francois ok 1.61 > T.50 
Dreier-Tschopp | Anna Dreier Anna ok Allianzname 

Kunz Meier Julia Kunz Julia nok Doppelname fehlt 

Fink Rudolf Fink Ruedi Enok | Vorname nicht identisch 
Frei Markus Thomas Frei Thomas ok ` Vorname enthalten 


Tabelle 1 : Beispiel Name Vorname 


Status: Freigegeben 10/14 
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2.3 Code-Translation Tabelle 


Für die Bildung des Common Name CN, der im Zertifikat verwendet wird, sind folgende Zeichen er- 
laubt: 


a-zA-Z0-9'()+,-./:=? Leerzeichen 


Andere Zeichen werden gemäss der nachfolgenden Tabellen vom Zeichensatz T.61 in den Zeichen- 
satz 1.50 umgewandelt: 





Tabelle 2: Code Translation T.61 - T.50 
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3 Kontrolle Reisedokumente 


3.1 Überprüfung Reisedokumente Schweiz 


3.1.1 Pass CH 


(Quelle: DocumentChecker - Keesing Technologies) 


Die Gültigkeit des Schweizer Reisepasses kann anhand der nachstehenden Eigenschaften und Si- 
cherheitsmerkmalen überprüft werden: 


3.1.1.1 Personendatenseite 
OVL Optical variable nk Hologramm 







Microprint 


Gelochtes Bild 


MRZ (Machine readable zone) 


Abbildung 1: Personaldatenseite Pass 


3.1.1.2 Innenseiteseite 


Wasserzeichen 


Laserperforation Passnummer 





Abbildung 2: Innenseite Pass 


3.1.1.3 Unterschriftsseite 


Microprint 





Laserperforation Passnummer 





Abbildung 3: Unterschriftenseite Pass 


Status: Freigegeben 12/14 
Version: V1.2, 14.11.2017 
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3.1.2 Identitätskarte CH 


(Quelle: DocumentChecker - Keesing Technologies) 


3.1.2.1 Vorderseite 


Ausweisnummer 













Abbildung 4: Vorderseite ID 


3.1.2.2 Rückseite 


Relief bei schrägem Lichteinfall 
sichtbar 


Multiple Laser Image (Gültigkeit / Nummer) 








IDCHEIS0002655K% 
8102287F1301014CHE<<<<<<<<<<<4 — — Ausweisnummer 


VADIS<<QUO<<<<<<<<<<<<<<< MRZ (Machine readable zone) 


Abbildung 5: Rúckseite ID 


3.1.3 Exception Handling 


Kann die Echtheit des Reisedokuments auch unter Einbezug dieser Anleitung und der aufgeführten 
Datenbanken nicht festgestellt werden, so muss der Fall dem Security Officer der Swiss Government 
PKI zur Abklärung und Beurteilung übergeben werden. Der Security Officer ist über die Mailadresse 


pki-secoff@bit.admin.ch 


erreichbar. 


3.2 Überprüfung Reisedokumente Ausland 


Für die Sicherheitsmerkmale von ausländischen Pässen und Identitätskarten können die folgenden 
gebührenfreien Online-Datenbanken konsultiert werden: 


http://prado.consilium.europa.eu und 
http://edisontd.net 


3.3 Schweizer Mitarbeiter mit abgelaufenem Reisedokument 


Im Grundsatz wird von jedem Mitarbeiter mit Schweizer Staatsbürgerschaft das Vorweisen eines gülti- 
gen Reisedokuments verlangt. Dabei ist wie oben erwähnt einzig das auf dem Ausweis aufgedruckte 
Gültigkeitsdatum massgebend. Muss aus zeitlichen Gründen ein Zertifikat erstellt werden, bevor ein 
neues Reisedokument beschafft werden kann, so sind vom Antragsteller diejenigen Dokumente vor- 
zuweisen, die bei der Beantragung eines neuen Passes oder einer neuen Identitätskarten verlangt 
werden. Diese zusätzlichen Dokumente müssen eingescannt und sowohl in der Zertifikatsdatenbank 
als auch im Dossier des Zertifikatsinhabers abgelegt werden. Der Zertifikatsinhaber erhält die Auflage, 
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innerhalb von 90 Tagen beim LRA-Officer einen neuen, gültigen Ausweis vorzuweisen. Der LRA- 
Officer führt zu diesem Zweck eine separate Pendenzenliste. 


3.4 Schweizer Mitarbeiter ohne Reisedokument 


Im Grundsatz wird von jedem Mitarbeiter mit Schweizer Staatsbürgerschaft das Vorweisen eines gulti- 
gen Reisedokuments verlangt. Muss ein Zertifikat erstellt werden, bevor ein Reisedokument beschafft 
werden kann, so sind vom Antragsteller diejenigen Dokumente vorzuweisen, die bei der Beantragung 
eines neuen Passes oder einer neuen Identitätskarte verlangt werden. Diese zusätzlichen Dokumente 
müssen eingescannt und sowohl in der Zertifikatsdatenbank als auch im Dossier des Zertifikatsinha- 
bers abgelegt werden. Der Zertifikatsinhaber erhält die Auflage, sich innerhalb von 90 Tagen beim 
LRA-Officer mit einem gültigen Ausweis identifizieren zu lassen. Der LRA-Officer führt zu diesem 
Zweck eine separate Pendenzenliste. 


Personen, die sich weigern, die notwendigen Dokumente vorzulegen, wird kein Zertifikat ausgestellt. 
Wurde bereits eines nach den Vorgaben im vorangehenden Abschnitt erstellt und wird innerhalb der 
Frist von 90 Tagen kein Reisedokument vorgewiesen, muss das Zertifikat vom LRA-Officer revoziert 
werden. 


4 Exception Handling 


Kann unter Berücksichtigung aller in diesem Dokument aufgelisteten Kriterien die Identifikation des 
Antragstellers nicht zweifelsfrei festgestellt werden, so muss der Fall dem Security Officer der Swiss 
Government PKI zur Abklärung und Beurteilung übergeben werden. Der Security Officer ist über die 
Mailadresse 


pki-secoff@bit.admin.ch 


erreichbar. 


14/14 


